Kampanye spionase terkait Tiongkok menargetkan server REDCap yang terekspos untuk menyebarkan malware InfiniteRed dan mencuri data sensitif dari institusi medis di Amerika Utara.
Peneliti Google Threat Intelligence Group (GTIG) mengaitkan serangan tersebut dengan aktor ancaman yang dilacak sebagai UNC6508, yang tidak terdeteksi selama lebih dari satu tahun di jaringan korban.
Platform REDCap banyak digunakan dalam penelitian medis dan ilmiah untuk membangun dan mengelola database dan survei yang mematuhi peraturan penelitian medis dan ilmiah.
Meskipun para peneliti tidak dapat menentukan vektor kompromi awal yang tepat, mereka mengamati UNC6508 menyelidiki versi REDCap yang lebih tua dan rentan.
Berdasarkan penyelidikan, penyusupan organisasi penelitian medis terjadi pada September 2023, dan aktivitas jahat tersebut berlanjut selama lebih dari setahun hingga November 2025.
kata GTIG bahwa tiga bulan setelah kompromi awal, penyerang menyebarkan malware khusus ‘Infinitered’ yang dirancang khusus untuk sistem REDCap, dan menyembunyikan komponennya dengan melakukan trojan pada file sistem server.
Infinitered terdiri dari tiga komponen: modul persistensi/pembaruan, pemanen kredensial, dan pintu belakang.
Sumber: Google
Pemanen login menangkap nama pengguna dan kata sandi yang dikirimkan melalui halaman login REDCap, kemudian mengenkripsi dan menyimpannya dalam tabel database REDCap lokal untuk pengambilan di masa mendatang.
Pintu belakang, yang menerima perintah melalui cookie HTTP, memberi UNC6508 kemampuan berikut:
- Jalankan perintah shell
- Unggah file ke server REDCap
- Unduh file dari server
- Jalankan kueri SQL sewenang-wenang
- Ambil kredensial yang dicuri
- Hapus catatan kredensial yang dicuri
- Kembalikan informasi sistem dan database
Salah satu teknik penting dalam kampanye ini, dan merupakan hal baru bagi para pelaku ancaman yang terkait dengan Tiongkok, adalah penggunaan fitur ‘aturan kepatuhan konten’ sah yang terdapat dalam alat produktivitas perusahaan berbasis cloud, untuk menyaring data melalui email.
Setelah mendapatkan akses administrator, UNC6508 membuat aturan kepatuhan konten bernama “Patroit,” yang memindai organisasi untuk mencari kata kunci tertentu, pola konten, alamat email, dan nomor telepon.
Setiap kecocokan kemudian secara otomatis dikirim sebagai blind carbon copy (BCC) ke ‘BebitaBarefoot774@gmail.com,’ yang sekarang dinonaktifkan oleh Google.
Kata kunci yang digunakan untuk mencari data bernilai berkaitan dengan penelitian medis, teknologi maju, topik militer, dan kebijakan geostrategis.
Sumber: Google
GTIG mengamati tingkat keamanan operasional yang tinggi dalam kampanye ini, termasuk penggunaan infrastruktur proxy perumahan yang berbasis di AS, router yang disusupi, VPS, pemutaran ulang kredensial, dan infrastruktur khusus untuk penyelundupan data.
Google memberi tahu beberapa organisasi di AS dan Kanada yang disusupi malware InfiniteRed.
“Area penelitian mereka mencakup spektrum pengobatan modern yang luas, mulai dari penemuan molekuler dan uji coba obat klinis hingga kebijakan kesehatan masyarakat tingkat negara bagian dan kesiapan militer.”
Administrator REDCap disarankan untuk meningkatkan instans mereka ke versi terbaru yang tersedia dan menghapus penerapan lama.
Google juga menyarankan penggunaan MFA/2SV pada akun dengan hak istimewa tinggi dan Kredensial Sesi Terikat Perangkat (DBSC) untuk mencegah pembajakan sesi.
Aturan dan indikator kompromi (IoC) YARA hadir dalam laporan untuk membantu memindai lingkungan untuk mendeteksi infeksi malware Infinitered.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
